📚 Bible Infra-Core — Maison

Doc “rebuild-ready” : l’objectif est de pouvoir tout réinstaller à froid sans pleurer (ou alors juste une larme, pour l’esthétique).

Traefik + domaines Monitoring (Prom/Grafana/Loki) Tailscale subnet routing (Ă  stabiliser) Docs servies par nginx

1. Vision

Principe d’or : si un service a une UI web, il ne doit jamais “traîner nu” sur Internet. Soit auth, soit réseau privé (Tailscale), soit les deux.

2. Réseau & IP

2.1 Plan IP (Maison)

Élément Rôle IP Notes
Routeur LinksysGateway / DHCP / LAN192.168.1.254Client DNS majeur vu dans AdGuard
ProxmoxHyperviseur192.168.1.10HĂ´te VM/LXC
VM infra-coreDocker + Traefik + monitoring192.168.1.20Le “cœur” (stacks)
OMVNAS + backups192.168.1.30Stockage & snapshots
SupabaseDB/API (si maison)192.168.1.40Optionnel ici si tu le gardes “Maison”
Home Assistant OSDomotique prod192.168.1.50HA-Prod
FrigateNVR IA192.168.1.80LXC/VM dédié
NVR TVTEnregistreur caméras192.168.1.90Surveillance
Wago PLCI/O domotique192.168.1.45Modbus TCP
Waveshare (si présent)Cartes I/O192.168.1.46HTTP / API / MQTT selon ton montage
VM TailscaleAccès distant + subnet routing192.168.1.130Tailscale IP: 100.x

Ce tableau est volontairement “Maison”. Le lavoir aura sa doc séparée.

3. Services “core” (infra-core)

3.1 Ce qui tourne dans la VM infra-core (Docker)

Rappel utile : Netdata et Grafana ne “font pas la même chose”.
  • Netdata = monitoring temps rĂ©el, hyper dĂ©taillĂ©, “je veux voir ce qui brĂ»le maintenant”.
  • Prom/Grafana = monitoring historique + dashboards + alertes, “je veux comprendre la tendance”.
  • Loki = logs (texte), pas des mĂ©triques. C’est le “journal de bord” centralisĂ©.

4. Routage, IP & Ports — tableau complet (Maison)

Lecture : Port interne = port du service (container/VM). Exposition = comment tu y accèdes. Le but est d’avoir une vérité unique pour dépanner vite.

Service Type Emplacement IP / Container Port(s) interne(s) Exposition URL / Accès Auth recommandée Notes
Traefik Reverse proxy infra-core container traefik 80 / 443 Public (TLS) Entrée de tous les domaines Middleware (basic auth / SSO) Point critique. À protéger.
Homepage Portail infra-core container homepage 3000 (interne) Via Traefik https://home.infra-core.org Auth légère Ne pas laisser “nu”.
Docs (Bible) Docs infra-core container bible-infra-core 80 Via Traefik https://docs.infra-core.org Optionnel Statique nginx.
Dockge Admin infra-core container dockge 5001 (souvent) / interne Via Traefik https://dockge.infra-core.org OBLIGATOIRE Admin critique.
Grafana Dashboards infra-core container grafana 3000 Via Traefik https://grafana.infra-core.org OBLIGATOIRE UI lourde sur mobile, normal.
Prometheus Métriques infra-core container prometheus 9090 Interne / Admin https://prometheus.infra-core.org (si exposé) OBLIGATOIRE si exposé Idéalement accès Tailscale only.
Alertmanager Alertes infra-core container alertmanager 9093 Interne / Admin https://alertmanager.infra-core.org (si exposé) OBLIGATOIRE Sinon notifications + pas d’UI publique.
Loki Logs infra-core container loki 3100 Interne Backend : /ready Interne UI = Grafana Explore.
AdGuard Home DNS infra-core (si docker) container adguard 53 (DNS), 3000 (setup), 80 (UI) LAN / Admin LAN: http://192.168.1.20:3000 (setup) / UI selon config UI à protéger Si tu l’exposes via Traefik, mets auth.
Nextcloud Cloud infra-core container nextcloud 80 / 443 (via Traefik) Via Traefik https://cloud.infra-core.org Login Nextcloud DB + Redis derrière.
Vaultwarden Mots de passe infra-core container vaultwarden 80 (interne) Via Traefik https://vault.infra-core.org OBLIGATOIRE Très sensible.
Proxmox Hyperviseur LAN 192.168.1.10 8006 LAN / Tailscale https://192.168.1.10:8006 OBLIGATOIRE À ne pas exposer “public”.
OMV Stockage LAN 192.168.1.30 80 / 443 (selon config) LAN / Tailscale LAN direct Login OMV Backups & exports.
Home Assistant Domotique LAN 192.168.1.50 8123 Via Traefik https://ha.infra-core.org Login HA Peut ĂŞtre aussi LAN direct si besoin.
Frigate NVR IA LAN 192.168.1.80 5000 (souvent) LAN / Via Traefik Selon ton routage Login/ACL À éviter en public.
NVR TVT Caméras LAN 192.168.1.90 HTTP/HTTPS (selon modèle) LAN only LAN direct Login NVR Pas d’expo Internet.
Wago PLC Automate LAN 192.168.1.45 502 (Modbus TCP) LAN only Utilisé par Home Assistant ACL réseau À isoler si possible.
MQTT Broker (Mosquitto) Bus IoT infra-core container mosquitto 1883 LAN only Pas d’UI web User/pass Ne pas exposer web.
À compléter (si tu veux faire parfait) :
  • Port exact de Dockge si tu veux l’inscrire “propre” (souvent 5001, mais dĂ©pend de ton stack).
  • Frigate : port selon ton install (souvent 5000) + Ă©ventuel RTSP/8554.
  • AdGuard : UI finale (setup 3000 / UI 80) selon ton Ă©tat actuel.

5. Traefik & exposition

5.1 Règles simples